美國網路安全暨基礎設施安全局(CISA)、聯邦調查局(FBI)及多州資訊共享與分析中心(MS-ISAC)於近日發布聯合警告,指出Medusa勒索軟體組織截至2025年2月已經影響美國超過300個關鍵基礎設施部門的組織,受影響的行業包括醫療、教育、法律、保險、科技和製造業。
Medusa勒索軟體的演變與運作模式
Medusa勒索軟體最早出現於2021年1月,但直到2023年才顯著活躍起來,當時該組織推出了名為「Medusa Blog」的資料洩露網站,利用竊取的資料作為籌碼脅迫受害者支付贖金。自成立以來,該組織已宣稱在全球範圍內攻擊了超過400個目標。
根據安全機構的分析,Medusa最初是一個閉環勒索軟體變種,由單一團隊負責所有開發和運營。雖然Medusa後來演變為勒索軟體即服務(RaaS)模式並採用了附屬機制,但其開發者仍然繼續監督關鍵操作,包括贖金談判。
CISA表示,Medusa開發者通常在網路犯罪論壇和市場上招募初始存取中介(IABs),以獲取潛在受害者的初始存取權。他們向這些附屬組織提供從100美元到100萬美元不等的潛在報酬,並有機會獨家為Medusa工作。
Medusa勒索軟體組織及其附屬成員主要通過釣魚攻擊和利用未修補的漏洞發動相對基本的攻擊。據報導,該組織的附屬成員曾利用CVE-2024-1709(影響流行的ScreenConnect遠端訪問工具的一個備受爭議的漏洞)以及CVE-2023-48788(影響安全公司Fortinet產品的漏洞)進行攻擊。
Medusa的贖金票據要求受害者在48小時內聯繫他們。如果沒有回應,駭客會通過電話或電子郵件聯繫受害者。該組織的洩露網站會公開竊取的資料並向任何人提供有償下載的服務。
FBI的調查發現,在一個案例中,受害者支付贖金後被另一個自稱Medusa成員的行為者聯繫,聲稱之前的談判者已經竊取了已支付的贖金,並要求再支付一半的款項以提供「真正的解密工具」,這可能表明存在三重勒索計劃。
Medusa勒索軟體在2023年因攻擊明尼阿波利斯公立學校(MPS)而引起媒體關注,該事件導致大量敏感學生文檔洩露,影響了超過10萬人。此外,該組織還宣稱對豐田金融服務公司(豐田汽車公司的子公司)發動了攻擊,並在其暗網勒索門戶上洩露了據稱從該公司竊取的文件,此前該公司拒絕支付800萬美元的贖金要求,並通知客戶資料外洩事件。
除了美國境內的攻擊外,Medusa還針對了太平洋島國湯加、法國市政當局和菲律賓政府機構,以及由加拿大兩家最大銀行建立的一家科技公司。伊利諾伊州和德克薩斯州的政府機構也受到了該組織攻擊的影響。不過,該組織最近聲稱攻擊了科羅拉多州奧羅拉市,但當地官員在外媒報導中對此提出質疑。
防禦建議
為了抵禦Medusa勒索軟體攻擊,CISA、FBI和MS-ISAC建議組織採取以下措施:
- 修補已知安全漏洞:確保在合理的時間框架內對操作系統、軟體和韌體進行修補
- 網路分段:分割網路以限制受感染設備與組織內其他設備之間的橫向移動
- 過濾網路流量:通過阻止來自未知或不受信任源頭對內部系統遠程服務的訪問來過濾網路流量
- 多因素認證:實施多因素認證,尤其是對可公開訪問的服務
- 備份策略:保持離線、加密的數據備份,並定期測試恢復程序
值得注意的是,有多個惡意軟體家族和網絡犯罪組織都自稱為”Medusa”,包括一個具有勒索軟體功能的Mirai變種殭屍網絡,以及2020年發現的一個Android惡意軟體即服務(MaaS)操作(也稱為TangleBot)。
由於這個常用名稱,關於Medusa勒索軟體的報導存在一些混淆,許多人認為它與廣為人知的MedusaLocker勒索軟體操作相同,但它們實際上是完全不同的操作。
這些持續增加的勒索軟體攻擊凸顯了組織加強網絡安全防禦的迫切需求,特別是針對關鍵基礎設施部門。CISA鼓勵所有組織實施其警告中概述的緩解措施,以減少Medusa勒索軟體事件的可能性和影響。
資料來源:資安人